win32/Adware.Virtumonde

Printable View

18.06.2008, 14:53
tmax

Вложений: 2

win32/Adware.Virtumonde

Здравствуйте.
NOD32 обнаружил модифицированный Win32/Adware.Virtumonde. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\gebCRHWO.dll.
После выполнения п. 2 "Правил" Nod32 ругаться перестал.
П. 8 "Правил" выполнить не удается: выскакивает синее окно с иероглифами и идет отсчет до ста, после чего компьютер перезагружается. Пожалуйста помогите.
18.06.2008, 15:03
Bratez

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mssysif] C:\WINDOWS\system32\adobescp[1].exe
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [Mr] C:\WINDOWS\rundll32.exe
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Mr] C:\WINDOWS\rundll32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe (User 'SYSTEM')
O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_qa.dll
O21 - SSODL: msvcrt64.dll - {36125294-9E84-45C6-AA79-270641B171B9} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\adobescp[1].exe','');
QuarantineFile('C:\WINDOWS\rundll32.exe','');
QuarantineFile('C:\WINDOWS\System32\msmsgs.exe','');
QuarantineFile('C:\WINDOWS\System32\tmp_qa.dll','');
QuarantineFile('C:\WINDOWS\System32\mdm.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\HTTP.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\System32\mdm.exe');
DeleteFile('C:\WINDOWS\System32\tmp_qa.dll');
DeleteFile('C:\WINDOWS\System32\msmsgs.exe');
DeleteFile('C:\WINDOWS\rundll32.exe');
DeleteFile('C:\WINDOWS\system32\adobescp[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24840[/url]).
Сделайте новые логи, начиная с п.10 правил.
18.06.2008, 16:03
tmax

Вложений: 2

Все сделал.
19.06.2008, 10:52
tmax

Подскажите, пожалуйста, это все, или надо сделать еще что-то?
19.06.2008, 12:03
Bratez

В логах все нормально.

А вот это у вас плохо:
[quote]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/quote]
Уже вышел SP3, пора его поставить, иначе будете у нас частым гостем ;)
19.06.2008, 13:23
tmax

Большое спасибо.
22.02.2009, 05:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]